Hersteller Microsoft hat jetzt seinen Sicherheitsempfehlungen „Security Baseline“ für Windows 10 Version 1903 (19H1) und Windows Server 1903 vor dem Final Release schon eine „Draft“-Version herausgegeben.
Das Unternehmen beschreibt in einem ausführlichen Blogeintrag die Änderungen gegenüber der bisherigen Security Baseline für Windows 10 1809 und Windows Server 2019 und verlinkt im Blog auch den Baseline-Download.
Keine Kennwortablaufrichtlinien mehr
Dabei fällt besonders auf, dass das Unternehmen sämtliche Kennwortablaufrichtlinien („password-expiration policies“) aus der neuen Baseline entfernt hat.
Security Baselines sind im Grunde Empfehlungen zum Einsatz von Gruppenrichtlinien. Microsoft schlägt den Admins damit vor, wie sie Netzwerke, für die sie verantwortlich sind, sicherer machen können. Die bisher darin enthaltenen Kennwortablaufrichtlinien dienten dazu, Nutzer nach einem festgesetzten Zeitraum (nach spätestens 60 Tagen) zur Passwortänderung zu zwingen.
Mit der neuen Veröffentlichung wurde diese Empfehlung jetzt ersatzlos aus der Baseline gestrichen. Allerdings bedeutet das nicht, dass die Gruppenrichtlinie selbst von Microsoft entfernt wurde. Admins können also durchaus weiterhin Kennwörter der Benutzer ablaufen lassen und finden die GPO wie gewohnt im Gruppenrichtlinien-Editor.
Auch Microsoft denkt endlich um
Mit der Streichung bestätigt Microsoft eine Erkenntnis, die sich in IT-Sicherheitskreisen schon recht lange gezeigt hat: Passwortänderungen sind nur dann empfehlenswert, es tatsächlich eine Kompromittierung gegeben hat – dann aber sofort und nicht erst nach Ablauf einer vorher festgelegten Frist.
Die bisher erzwungenen und dabei sinnfreien Passwortänderungen alle paar Wochen führen dagegen häufig zu unsicheren, nur halbherzig ausgedachten, und zum wiederholten Male oder für mehrere verschiedene Accounts verwendeten Passwörtern.
Oder noch schlimmer zu Passwortlisten in Schreibtischschubladen, auf denen schon benutzte Passwörter einfach nur durchgestrichen werden. Microsoft nennt jetzt auch genau diese Gründe für die Streichung der Policies im Blogeintrag zu den Sicherheitsempfehlungen.